Számitogépes virusok

Ebben a részben leirok dolgokat, tapasztalatokat a virusokrol, hogy mi a baj velük, milyen gondokat okoznak, miért érinti a szolgáltatot miért érinti a felhasználot, ...

A számitogép virus nem más mint egy programrész, onállo program vagy több összefüggö program csoport. Régebben floppy lemezeken terjedt, mostanában azonban interneten,hálozaton és adathordozokon(usb stick,telefon,stb)

A mostani virusok elsödleges célja a számitogép irányitásának átvétele és átadása egy bizonyos közösségnek(mondjuk ugy rossz fiuk). A virusokat szinte bárhonnan bármikor meg lehet kapni, csak egy click egy rossz weboldalon, esetleg csak egy weboldal meglátogatása, egy üzenet elfogadása,egy állomány letöltése és inditása, egy adathordozo bekötese(HD,USB), vagy egyszerüen nem kell csináljuk semmit a netröl jön kihasználva az operácios rendszer hibáját és megfertöz.

Mi után a virus bekerült a gepbe elsö dolga magát jol elrejteni a felhasznalo elöl. Ennek érdekében megprobálja magát rendszer állománynak álcázni, pl. az állományait a szemetes kukába tenni, temp könyvtárba,system könyvtárba, ezt is elrejti és nem engedi letörölni, vagy ujjabban amit tapasztaltam, hogy az egész merevlemezt elrejti a rendszer elöl, viszont megengedi a windowsnak és az állománykezelönek, hogy lásson bizonyos dolgokat, elleben minden más elöl elrejti, igy még a legjobb antivirus sem kaphatja meg.

Ezután megprobál minden rá veszélyes programot kiiktatni,letörölni, ártalmatlaná tenni. Mint az antivirus,tüzfal, vagy rendszerprogramok taskmanager,regedit... Ez után megprobál csatlakozni egy bizonyos elöre meghatározott szerver(ek)hez, amit a programozo beprogramozott, ide csatlakozik általában az összes megfertözött gép, innen irányithato az összes, ezt nevezzuk botnetnek. Mi után ez megtörtént már a programozoja tudja irányitani a virust. Három alapvetö funkciot minden virusba beleprogramoznak, csatlakozás a botnetre, program letöltése egy adott helyröl és bármilyen program futtatása. Ennél több nem is kell, ennyivel bármit el tud intézni a virus iroja ha valamit akar csak megirja, letölteti és elindittassa. Tehát megszerezte a gép 100% irányitását.

Elsödleges céljuk az igy megszerzett gépekkel a spam küldés(nem kért levelek,''viagra'') megszervezett DDoS támadás és adatlopás. Igen adatlopás, megszerzik a gépen találhato összes kulcsszavat, beirt kulcsszavakat, ha valami fontosat találnak az állományok között(dokumentum,kép,stb) akkor azt is letölthetik.

Ha például a kulcsszo nem tárolodik(pl. biztonságos bank weboldal) akkor meg tudják csinálni, hogy a felhasználot átirányitják egy elöre elökészitett banki weboldalra ami 100%-ban hasonlit az eredetire. Ezt ugy oldják meg, hogy kicserélik a számitogép névmegfejtö szerverének az ipcimét.Ez a cim általában mindig a szolgáltato-ra mutat, hogy a lehetö leggyorsabb legyen. Ilyenkor a böngészés lelassul ugyebár messze az internetröl kell megkeresse, hogy mit kér a felhasználo, pl. beirja google.com és vár mert a kéres el kell menjen a virus irányitokhoz majd vissza. Persze ebböl a felhasználo csak annyit vesz észre, hogy lelassult a net(és már megint a szolgáltato a hibás ugyebár). Na már most ha lassan is de megy, viszont nem mindegy, hogy mi a helyes válasz, mert ha ök ugy akarják akkor egyszerüen a kérésre nem a jo ipcimet adják hanem az ök által elökészitett weboldal cimet ami pont olyan mint az igazi(ha a felhasználo kételkedne esetleg megnézné hogy biztos jo cimet irt a böngészöbe? és minden kételye elmulik mi után meggyözödik, hogy jo a cim) ekkor beirja a felhasználonevét és kulcsszavát, ezzel már a bünszervezet azt csinál amit akar, ha akarja megszakitja a kapcsolatot a felhasználoval és ö majd lefolytatja a banki átutalásokat, ha akarja visszatérit bejeltenkezve az igazi oldalra viszont párhuzamosan ö a maradékkal gazdálkodik.

Sajnos hasonlo dns átirányitásra a netpontnál is volt pelda, mi után jopáran panaszkodtak, hogy lassan megy az internet, hol megy hol nem(az irányitok szervere sem ment mindig és változott) rájöttunk, hogy mi a gond. Ez után letiltottuk azokat a szervereket, hogy a mi felhasználoinkat csak ne teritgessék sehová. Persze aki nem tudta miröl van szo csak annyit vett észre, hogy nem megy az internet (már megint a szolgáltato,a nénikéjit neki, hogy igen) de mi után megtudta az igazat gondolom mégis meggondolta magát, hogy talán megis az ö érdekében történt a dolog. Ellenben ha ujjratette a windowszát vagy kiirtotta a virust , az internet elindult és máris láthatta, hogy nála volt a baj. (De addig karomkodott... (tapasztalat :)))

A virusokkal még tudnak küldeni spamot vagy bizonyos szerverek ellen támadásokat inditani. A spam kuldés ugy történik, hogy a virus a programozo adatbázisábol letölt egy bizonyos mennyiségu emailcimet, hozzá a megfelelö üzenetet és a gép folyamatosan küldi ezekre a cimekre a kéretlen leveleket. A DDos támadások ugy zajlanak, hogy az irányito megmondja pár ezer gépnek, hogy látogasson meg egy bizonyos kiszemelt weboldalt. A hatás az lessz, hogy az a weboldal elérhetetlen lessz, károkat okozva annak a weboldalnak.

Itt jön a képbe a netpont által használt virusaktivitás követés(grafikon). A grafikonok menüpontban leirtam mit mutat a grafikon igy hát itt nem részletezem, viszont kitérek arra, hogy milyen hatással van a felhasználora és milyen hatással van a szolgáltatora.

Elöször is mivel a netpontnál a felhasználok 100Mbite/1Gbite-el csatlakoznak a hálozathoz ezáltal nagy sávszélességük van a hálozaton belül, ezt kihasználva a virusnak könnyen lehetösege van, ha például 100M val kezd floodolni valamit, nagy eséllyel egy bizonyos szakaszt a rendszerben használhatatlanná tesz. Persze igy nem fog menni a netje annak a felhasználonak is akitöl indult a flood és annak sem aki még közelében van, akinek a részlegét érintette. Mindebböl az érintet felek mit tudnak levonni? nem megy a net és megint a netszolgáltato a hibás ugyebar.

Más szolgáltatoknál ahol nem 100M hálozat alapu, mint polyp vagy romtelecom, ahol a felhasználo feltöltése erössen korlátolt, csak internet sebesség van és annak is a feltöltése csak tizede a letöltésnek, ott nincs ilyen gond. Ott csak a virusos felhasználo látja kárat, salyát maga fulad bele a forgalmába és lassan megy az internetje. Persze mi is leszabályozhatnánk a sebességeket a hálozaton belül de akkor mi értelme van a 100M/1G hálozatnak? Eppen ezért, hogy megvédjuk magunkat és a felhasználokat szükségesnek láttuk ennek a bevezetését. Ezen felül még annak is jo aki virusos hiszen ha a szerver letiltja a csatlakozásokat, megszünik a kapcsolat a virus és az irányitoja között ez által nem tudnak sem adatot lopni sem a gépet irányitani.

Ez a megoldás sem tökéletes mert lassu forgalom vagy csak egyszerü adatlopást a grafikon nem tud kimutatni csak a nagy erejü támadások ellen véd, tehát védekezni valamiképpen mindig kell. Ezért fontos az antivirus, nem számit milyen csak valami legyen. Tökéletes antivirus ugysincs mindeniknek ugyanaz a hibája, hogy a virust utolag tudja felismerni, mi után valaki beazonositotta, elküldte az antivirus fejlesztöknek. Mi a netpontnál idöközönként ellenörizzuk az ilyen dns eltéritéseket és szükség esetén az eltéritök szerverének elérését a netpont hálozatbol blokkoljuk. Ennek az a következménye, hogy nem megy az érintett felhasználoknak a netje és virus listában sem lessz. De gondolom még mindig jobb mint hogy lassan menjen vagy lopjanak töle, és legalább észreveszi hogy valami gond van, különben soha nem jönne rá.

A masik dolog amire a viruskészitök odafigyelnek, hogy a virusok mindig fissitsék salyát magukat, tehát mindig az antivirus elött legyenek. Volt már olyanra is példa, hogy a netpontos védelem aktiválodott, letiltotta a felhasználot ez által a virus sem tudott frissülni ellenben az antivirus igen és pár napon belül az antivirus megkapta a virust, kiirtotta, nem kellett mást mit tenni csak levenni a felhasználot a listárol és ujjra minden a régi.

A következö tanácsokat szeretnénk ha mindenki megfogadná és betartaná, hogy lehetöleg minél kevessebb ilyen és hasonlo probléma meruljon fel:

Soha ne kapcsoljuk ki windows tüzfalat hacsak nincs más helyette(softweres vagy hardveres(router))

A netpont szerver alapbol nem engedi, hogy az internetrol bárki is rácsatlakozzon netpont háta mögötti gépre és megfertözze azt, természetesen aki kéri annak kikapcsoljuk de akkor készüljön fel a támadásokra és ne panaszkodjon, hogy miért nem vedi öt a szerver és küldi nekünk a sajat logjait, hogy kik akarták feltörni a gépet.(volt már rá példa)

Ne töltsunk le és inditsunk futtathato állomány kétes helyekröl/felhasználoktol.(warez/crack/feltelepitett játékok felhasználoktol/stb.)

Ha nem muszáj ne használjuk az internet explorert, helyette van Firefox ,Opera egyik sem tökéletes de meg mindig gyorsabban kijavitják bennük a hibát mint a microsoft a több honapos késéseivel.

Ha egy weboldalon elöjön egy ablak amiben azt irja, hogy a gép virusos és töltse le ezt es ezt az antivirust, hogy megszabaduljon töle ne higgye el, az nem igaz, amit le fog tölteni az maga lessz a virus.(már sokan megjárták)

Es most egy pár érdekességet amivel találkoztam:

Pár évvel ezelött valakinél irtottam a virust és kiváncsiságbol megnéztuk mit is küld a virus a gazadájának, hát tessék:
PRIVMSG ##rofl1## :[KEYLOG]: (Changed Windows: Product registration)
PRIVMSG ##rofl1## :[KEYLOG]: (Changed Windows: Ad-Aware 2007 Setup)
PRIVMSG ##rofl1## :[KEYLOG]: (Changed Windows: Read Me - Jegyzettomb)
PRIVMSG ##rofl1## :[KEYLOG]: (Changed Windows: Program Manager)
PRIVMSG ##rofl1## :[KEYLOG]: (Changed Windows: Ad-Aware2007.exe - A komponens nem talalhato)
irc.Sculay.org 332 [00|HUN|XP|SP2]-4521 ##rofl## :.keylog on ##rofl1##
PRIVMSG ##rofl## :[KEYLOG]: Already running.
PRIVMSG ##rofl## :.login niggastolemyshoe
PRIVMSG ##rofl## :My Master
##rofl## :-=PSTORE=- http://daily.webshots.com/scripts/login.fcgi xxxxxxxxx:xxxxxx
PRIVMSG ##rofl## :-=PSTORE=- http://www.tarskereso.ro/ xxxxxx:,xxxxxxx,
PRIVMSG ##rofl## :-=PSTORE=- https://www.google.com/accounts/ServiceLogin xxxxxxxxxxxxx:,xxxxxxxxx,xxxxxx
PRIVMSG ##rofl1## :[KEYLOG]: (Changed Windows: DC++ 0.254k) Természetesen a passwordokat közös megeggezéssel átirtuk xxxxx-re :)

Honnan lehet tudni, hogy egy felhasználo feltételezetten virusos vagy nem. Egyszerüen meg kell nézni a dns kéréseket, ha ilyent látok biztos nem veszem le automatán a viruslistábol:
119+ A? win.cheapsocks.cn. (35)
119 3/2/0 A 208.122.57.58,[|domain]
IP 86.106.xxx.xx.1291 > 208.122.57.58.7008: [|rx] (6)
IP 86.106.xxx.xx.1292 > 89.149.244.120.2981: S 2312630998:2312630998(0) win 64240
Ez már ismerös nekem, kivülrol tudom, hogy a virus a szemeteskukában van megbujva, a neve winservices.exe, a nod32 megkapja és kiirtja mert én már visszakuldtem a nodosoknak, csak ennek a felhasználonak vagy nem nod van, vagy nincs is antivirus program telepitve.

Ezen a linken van egy dokumentumfilm, amit a hálon kaptam nagyon tanulságos és bemutatja gyakorlatban mindazt amit én itt leirtam click ide a letöltéshez. Csak netponton belul!

Témával kapcsolatos kérdéseket, komenteket rjoco _[at]_ kezdionline pont ro

P.S. Sejtem hogy van benne helyesirási hiba és hiányoznak ékezetek de kinek nem tetszik irjon haza. :)